SparkKitty est un spyware discret mais redoutable, qui cible spécifiquement les utilisateurs ayant des portefeuilles de cryptomonnaies. Ce cheval de Troie, apparu pour la première fois dans des applications distribuées par Google Play et l’App Store (depuis supprimées), s’attaque aux images stockées dans la galerie du téléphone. Son obsession est de dérober les informations sensibles visibles à l’écran, comme les phrases de récupération (seed phrase), indispensables pour restaurer un portefeuille crypto.
Un malware déguisé en app légitime
L’origine du malware est à chercher du côté d’une campagne plus large liée à SparkCat, un autre espion identifié début 2025. Les deux malwares partagent une méthode d’infiltration semblable : des apps clones de TikTok, des boutiques crypto fictives, des jeux de casino, voire des apps de messagerie modifiées. Certaines de ces applications s’appuyaient sur des profils d’entreprise iOS pour contourner la vérification de l’App Store, ce qui permet aux pirates d’installer leurs apps sans passer par les circuits officiels.
Kaspersky, qui a levé le voile sur SparkKitty, indique que le malware est capable de voler toutes les images présentes sur l’appareil, ou d’utiliser la reconnaissance de caractères (OCR) pour cibler uniquement celles contenant du texte — typiquement des identifiants, des adresses ou des phrases de récupération.
Beaucoup d’utilisateurs de portefeuilles cryptos prennent en photo leur phrase de récupération au lieu de l’écrire sur papier. C’est exactement ce genre de négligence exploité par SparkKitty. Une fois installé, le logiciel espion surveille la galerie photo du smartphone et envoie les images intéressantes à un serveur distant, via des adresses chiffrées et des requêtes réseau déguisées. Dans certains cas, la photo est transmise avec des métadonnées de l’appareil, comme l’UUID, le modèle, et la version de l’application infectée.
Le code malveillant est parfois intégré directement dans des frameworks falsifiés comme AFNetworking ou Alamofire, deux bibliothèques normalement inoffensives. Ces versions modifiées déclenchent automatiquement le vol de données dès que l’app est lancée, sans interaction visible de l’utilisateur.
Même si SparkKitty semble cibler en priorité l’Asie du Sud-Est et la Chine, aucune barrière technique ne l’empêche de s’attaquer à des utilisateurs dans d’autres régions. Il est donc urgent d’adopter des réflexes de prudence à commencer par un conseil tout simple : ne conservez jamais de captures d’écran de données sensibles (wallets, passeports, mots de passe, etc.).
Vérifiez aussi les autorisations accordées aux applications (accès aux photos, au stockage, etc.) et désactivez celles qui ne sont pas justifiées. Installez vos apps uniquement depuis les boutiques officielles, tout en restant méfiant : SparkKitty a réussi à passer entre les mailles du filet. Et évitez les apps modifiées ou issues de sources douteuses, même si elles semblent inoffensives.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
